A mûködési kockázatok mérése és kezelése a Magyar Nemzeti Bankban

A mûködési kockázatok mérése és kezelése

a Magyar Nemzeti Bankban

BAKI LÁSZLÓ–DR. RAJCZY PÉTER–

TEMESVÁRI MÁRTA

B ^AKI L ^ÁSZLÓ – ^DR . R ^AJCZY P ^ÉTER – T ^EMESVÁRI M ^ÁRTA

A MÛKÖDÉSI KOCKÁZATOK MÉRÉSE ÉS KEZELÉSE

A M ^AGYAR N ^EMZETI B ^ANKBAN

A „Mûhelytanulmányok” sorozatban megjelenô írások a szerzôk nézeteit tartalmazzák, és nem feltétlenül tükrözik

a Magyar Nemzeti Bank vezetô testületeinek, illetve szakmailag illetékes munkatársainak álláspontját.

Írta: Baki László, dr. Rajczy Péter, Temesvári Márta (MNB Ellenôrzési fôosztály, Mûködésikockázat-kezelési osztály)

2004. október

Kiadja a Magyar Nemzeti Bank 1850 Budapest, Szabadság tér 8–9.

Felelôs kiadó: Missura Gábor

www.mnb.hu

ISSN 1585-5651 (online)

TARTALOMJEGYZÉK

B

5

1. M

? 6

2. M

? 8

3. A

9

3.1 Mit mérünk a kockázatok felmérésekor? 9

3.2 Milyen keretben mérjük kockázati kitettségünket? 10

3.3 A felmérés módszere 11

3.4 A munkafolyamat-struktúra jelentôsége 15

4. A

17

4.1 Hogyan hasznosítható a kockázati térkép a kockázatkezelésnél? 17

4.2 A mûködési kockázatok kezelése 18

4.3 Kiemelten a BCP-rôl 19

4.4 A kockázatkezelés minôségének figyelemmel kísérése 20

5. M

? 23

T ARTALOMJEGYZÉK

Az intézményi kockázatok hatékony kezelése átfogó szemléletet, megfelelô szervezeti ke- retek közt gyakorolt, kifinomult mérési és kezelési technikákat igényel. Ezek nemzetközi szintû fejlesztését célozza meg a Bank for International Settlements (BIS), az International Convergence of Capital Measurement and Capital Standards, közismertebb nevén Bázel II- ben foglalt ajánlásaival, amellyel a pénzügyi intézményrendszer átlátható, prudens mûkö- dését kívánja biztosítani.

A Bázel I-et belátható idôn belül felváltó új rendszer, tekintettel egyes nagy port felvert koc- kázati eseményekre (Barings Bank, Enron), különös figyelmet fordít a mûködési kockáza- tokra. Ezen kockázatok felmérésére javasolt módszertan alapvetôen új, részleteiben még nem kikristályosodott, és számos vita övezi.

Ennek ellenére a pénzügyi intézmények, a Bázel II minimális tôkekövetelmény-meghatáro- zásra irányuló 1. pillérében foglaltak alapján, egyre inkább foglalkoznak a témával. Nem- csak a nemzetközi hálózattal rendelkezô nagybankok, amelyeket elsôdlegesen megcéloz a Bázel II, hanem a tartaléktôke képzésére nem kötelezett jegybankok is módszereket dol- goznak ki mûködési kockázataik felmérésére.

Erre tekintettel indult el a Magyar Nemzeti Bankban is a mûködési kockázatok rendszer- szerû áttekintése és felmérése, és ezzel a mûködési kockázatok kezelésének új alapokra helyezése.

Gyakran többletmunkaként érzékeli a banki szervezet a mûködésikockázat-felméréssel já- ró feladatokat, csakúgy, mint az egyik lényeges kockázatkezelési eszköz, az üzletmenet- folytonossági tervezési rendszer (BCP) átfogó szemléletû kezelését.

Jelen tanulmány arra kíván rávilágítani – ismertetve az MNB-ben kidolgozott rendszert, va- lamint a mûködési kockázatok felmérésének és kezelésének összefüggéseit –, hogy mind- ez voltaképpen eddig is szerves része volt a bank szokásos tevékenységeinek, most csak a megközelítés más egy kicsit. Hátterében rendszerszemlélet áll, és a módszerek ehhez al- kalmazkodnak.

BEVEZETÔ

B ^EVEZETÔ

A kockázat általánosan és pozitív értelmezésben a nyereség esélye, negatív értelmezésben az értékeinket fenyegetô károk veszélye.

A kockázattípusokat a NetRisk internetes weboldalán közzétett, a kockázatok forrásaira is utaló kördiagramon keresztül mutatjuk be:

MIT TEKINTÜNK KOCKÁZATNAK?

1. M IT TEKINTÜNK KOCKÁZATNAK ?

People Risk

Process Risk

Operational Risk

System Risk

External Risk

Strategic Risk Business

Risk

Financial Risk

Liquidity Risk Market Risk Credit Risk

Management Risk

Interpersonal Relationships Employee Miseeds

Compliance Breakdown Control Breakdown

Hardware Software Telecommunications

Networks

Catastrophical/Event Client/Counterparty/Vendor Security Breach Supervisory

Systems Research & Development Product Design Market Dynamics

Market Structure Business Relationships

Economic Repulational

Reporting Monitoring Organisational

Planning

Hedging Funding Cash Management

Interest Rate Currency

Equity Commodity

Behavioral Counterparty

Obligor Supplier Settlement

Enterprise Risk Management

People Risk

Process Risk

Operational Risk

System Risk

External Risk

Strategic Risk Business

Risk

Financial Risk

Liquidity Risk Market Risk Credit Risk

Management Risk

Interpersonal Relationships Employee Miseeds

Compliance Breakdown Control Breakdown

Hardware Software Telecommunications

Networks

Catastrophical/Event Client/Counterparty/Vendor Security Breach Supervisory

Systems Research & Development Product Design Market Dynamics

Market Structure Business Relationships

Economic Repulational

Reporting Monitoring Organisational

Planning

Hedging Funding Cash Management

Interest Rate Currency

Equity Commodity

Behavioral Counterparty

Obligor Supplier Settlement

Enterprise Risk Management

Forrás: NetRisk

Mint látható, a pénzügyi és üzleti kockázatok mellett megjelennek az úgynevezett mûkö- dési kockázatok. Ez utóbbiakkal kapcsolatban, természetükbôl adódóan, csak kárveszély- rôl beszélhetünk.

A fentieket és a Bázel II ajánlását figyelembe véve a mûködési kockázatokra a következô definíciót használjuk:

Mûködési kockázat az emberek szándékosságából vagy hanyagságából, a munkafolya- matokhibás lebonyolítási eljárásából, lényeges erôforrások, rendszerekhibájából, kiesésé- bôl, vagy fizikai károsodást okozó kisebb-nagyobb külsô eseményekbôlfakadó károk ve- szélye (beleértve a jogszabálysértésbôl adódó, de ide nem értve a stratégiai, illetve reputá- ciós kárveszélyt).

Megjegyezzük, hogy a jogi kockázatot nem tekintjük elkülönített kockázatnak, a reputá- ciót, azaz egy intézmény hírnevét pedig kockázatnak kitett értékként értelmezzük (ennek indoklására a késôbbiekben kitérünk).

MIT TEKINTÜNK KOCKÁZATNAK?

Függetlenül attól, hogy eredményérdekelt-e egy cég, követelmény a takarékos gazdálko- dás. Amellett, hogy képesnek kell lenni az esetleges károk finanszírozására, törekedni kell azok enyhítésére – olyan mértékben, hogy a kockázatok, arányos ráfordítással, szem elôtt tartva a biztonsági követelményeket, elfogadható szintre mérséklôdjenek. Teljes kiiktatásuk nem lehetséges.

A kockázatok, azaz a kárveszély mérséklése kockázatkezeléssel érhetô el. Ahhoz, hogy tudjuk, mely kockázatokat mennyire célszerû mérsékelni, azonosítanunk kell azokat, és is- mernünk kell nagyságukat.

MIÉRT MÉRJÜK ÉS KEZELJÜK A KOCKÁZATOKAT?

2. M IÉRT MÉRJÜK ÉS KEZELJÜK A KOCKÁZATOKAT ?

Kockázatok

azonosítása Felmérés Kezelés

(és monitoring)

A kockázatok a tûrhetõ szintre mérséklõdnek

3.1 MIT MÉRÜNK A KOCKÁZATOK FELMÉRÉSEKOR?

A kockázatok felmérésekor intézményi szinten meghatározzuk a kárveszély, azaz kocká- zati kitettségünk mértékét, a lehetséges kockázati események azonosításával és valószínû- síthetô hatásuk becslésével.

Kockázatnak kitett értékeinka munkafolyamatok végzése során kezelt vagy használt esz- közök, valamint nem vagyoni értékként erkölcsi tôkénk (hírnevünk, azaz reputációnk).

A kockázatok potenciális kockázati eseményekbenrealizálódnak.

Ezek olyan, a normál munkamenetbe nem tartozó események, amelyek következtében kockázatnak kitett értékeinkben kár keletkezhet. (Jellegük szerint csoportosíthatók, pl. Bá- zel II szerint a mûködési kockázati események hét fô típusba sorolhatók.)

A bekövetkezett kockázati események hatása a kockázatnak kitett értékeink anyagi és/vagy erkölcsi (reputációs) kára:

– Anyagi kár a munkafolyamatok lebonyolítása során, a kockázatnak kitett értékekben elszenvedett, bankot sújtó pénzügyi veszteség, vagy a mûködéssel szükségszerûen együtt nem járó kiadás (megjelenési formája szerint leírás, jogi költségek, bírságok, érvé- nyesíthetetlen visszkereset, ügyfél- és egyéb kártérítés, tárgyi eszköz vesztesége/pótlása).

Kitett érték itt a munkafolyamatok lebonyolítása során használt és kezelt érték.

A kár mértéke pénzben kifejezhetô.

– Reputációs kára negatív külsô megítélés, a jegybank – pénzügyi intézményrendszer stabilitását is garantáló – megbízhatóságába vetett hit megingásának romboló hatása, melynek forrása alapvetôen a mûködésünkkel az intézményen kívül okozott kár, vagy mûködésünkrôl kialakított kedvezôtlen kép. Kitett érték itt maga a reputációnk, azaz er- kölcsi tôkénk.

A kár mértékének foka minôsíthetô, de pénzben kevéssé fejezhetô ki.

Nem beszélünk tehát reputációs kockázatról, hanem a reputációt kitett értékként ér- telmezzük, melyben különbözô fokú kár keletkezhet különbözô kockázati események ha- tására.

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

3. A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Jogszabályi követelmények megszegésével is együtt járhat számos mûködési kockázati esemény. A kockázati esemény azonban nem maga a jogszabálysértés, hanem például eljárási hiba, melynek jellemzôje, hogy jogszabálysértés is történt. (Vonatkozik ez magá- ra a jogszabály-alkotási tevékenységre is.)

Nem beszélünk tehát külön jogi kockázatról, a jogszabálysértéssel okozott anyagi és/vagy erkölcsi kár az adott kockázati esemény hatásában jelentkezik.

Ezen károk veszélyének mértékét/fokát, azaz kitettségünk mértékét fejezzük ki a kockáza- ti értékekben, és mérjük fel a kockázatkezelés megalapozásához.

3.2 MILYEN KERETBEN MÉRJÜK KOCKÁZATI KITETTSÉGÜNKET?

Kockázati kitettségünket az úgynevezett kockázati mátrix keretei közt mérjük fel. A mátrix, mint kockázati térkép megmutatja az aktuálisan becsült kockázati értékek helyét és mértékét.

A kockázatokat a munkafolyamatok hordozzák. A különféle munkafolyamatokban különfé- le kockázati események fordulhatnak elô, ugyanakkor néhány kockázati eseményfajta bár- mely, vagy együttesen több munkafolyamat kitett értékeiben is okozhat kárt.

Hogy teljeskörûen és átfedések nélkül mérhessük fel kockázati kitettségünket, minden munkafolyamatra és lehetséges kockázati eseményre elvégezzük a becslést, és a kockáza- ti értékeket a munkafolyamat-kockázati eseményhálón, azaz kockázati mátrixbanjelenít- jük meg. Az értékek munkafolyamatra és kockázati eseményre is összesíthetôk.

A kockázati térképtehát a kockázati értékeket a munkafolyamat-kockázati eseményhálón megjelenítô kockázati mátrix.

Egy intézmény kockázati mátrixának felépítését a melléklet 1-es számú táblázata mutat- ja. A mûködési kockázati mátrixot a Bázel II-ajánlásokat¹ adaptálva dolgoztuk ki részle- teiben (szerkezete eltérô színnel kiemelve).

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Kockázat (különféle kockázattípusok)

= kárveszély

Potenciális kockázati események hatásának valószínûsíthetô mértéke

=

kockázati kitettség mértéke (kockázati érték) Kárveszély reali-

zálódása

=

különféle kockázati események

Kockázati események hatása

=

anyagi / reputációs kár

1BIS, Basel Committee on Banking Supervision: Working Paper on the Regulatory Treatment of Operational Risk, September 2001.

A mûködési kockázati eseménytípusokra adott, Bázel II szerinti specifikációt és a kocká- zattípusokat tartalmazó kördiagram tartalmát együttesen adaptáltuk.

A figyelembe vett kockázati események részletes felsorolását a melléklet 2. számú táblá- zata rögzíti.

A jegybank munkafolyamat-struktúráját a melléklet 3. számú táblázata tartalmazza.

A mûködési kockázatimátrix tartalmazza a munkafolyamatainkban azonosított, lehetséges mûködési kockázati események minôsített és becsült adatokon alapuló, számszerûsített pénzügyi hatását, mint becsült kockázati értékeket.

Indokolt emellett a munkafolyamatok lebonyolítási eljárásait átszövô üzleti(stratégiai és menedzsment) kockázatok figyelembevétele is, mert mértéküket jelentôsnek érezzük.

Az üzleti kockázatokkal kapcsolatos kockázati események (leegyszerûsítve az esetleges, szigorúan szakmai döntési és átfogó szervezési, tervezési hibák) azonosítása a munkafo- lyamatokban, és hatásuk számszerûsítése ugyan nehézségekbe ütközik, azonban a külsô pénzügyi intézményrendszerre, ügyfelekre gyakorolt hatásuk súlya, megítélésünk szerint, megfeleltethetô az ilyen hibák miatt reputációnkat sújtó lehetséges károk súlyának. Erre tekintettel az üzleti kockázatokkal kapcsolatos kockázati események munkafolyamaton- kénti hatásának mértékét kívánjuk minôsíteni, mégpedig a munkafolyamatok ilyen hibá- kon alapuló reputációs kárveszélyességének felsô vezetôi priorizálásán keresztül.

Jelen keretek között nem vettük figyelembe a teljességében külön mért és kezelt pénz- ügyi kockázatokat(hitel-, piaci és likviditási kockázatok), de ezek is a rendszerbe illeszt- hetôk. A kiterjesztéssel, melyhez felsô vezetôi döntés szükséges, intézményi szintû, min- den munkafolyamatra, mindhárom fô kockázattípusra kiterjedô, tehát a teljes kockázati kitettséget felölelô kockázati térkép nyerhetô.

Az üzleti kockázatokra is kiterjesztett kockázati mátix számszerûen mutatja a mûködési kockázati kitettséget, és (terveink szerint) mellette a munkafolyamatok üzleti kockázati ki- tettségnek megfeleltetett prioritását. Együttesen értékelve ez információt szolgáltat a mun- kafolyamatok pénzügyi kockázatok nélkül tekintett kockázati kitettségérôl.

Az eredmény nem statikus. A kockázati mátrix karbantartásával követhetôk a munkafolya- matok változásai. A felmérések idôszakos megismétlésével, a munkafolyamatokra jellemzô kitett értékek és a minôségváltozások hatását is tükrözô kockázati értékek becslésével elô- remutató kockázati térképet állíthatunk fel, így kockázati kitettségünk változásainak figye- lembevételével a kockázatkezelési eljárások is karbantarthatók.

3.3 A FELMÉRÉS MÓDSZERE

A mûködési kockázati értékek becslése egy olyan modell alkalmazásával történik, amely a kárbekövetkezési valószínûségekre és a lehetséges károkra vonatkozó minôsített és szám- szerû adatokra épül.

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Emellett a munkafolyamatokban kockázati eseményenként minôsítjük az adott kockázati eseményhez kapcsolódó reputációs kárveszély szintjét.

A ténylegesen bekövetkezett károkat is felmérjük.

A mûködési kockázati eseményekbôl fakadó valószínûsíthetô veszteségek felmérésére a Bázel II AMA (Advanced Measurement Approach) modelljét adaptáltuk. A választott eljá- rás célja, jegybankról lévén szó, nyilvánvalóan nem tôkeszükséglet-megállapítás, hanem a kockázati értékek teljes áttekintése és – magával az eljárással is – a kockázati tudatosság erôsítése, ezért azt alapvetôen a munkafolyamatokért felelôs szervezeti egységek önminô- sítésére, becslésére építettük („self-assessment”). Ugyanakkor számolnunk kellett az adat- források korlátosságával, a tapasztalatok hiányával.

Az eljárás elemei:

A kárbekövetkezési valószínûség munkafolyamatonként meghatározott, minôsítésekhez rendelt paramétereken keresztül számított adat.

A munkafolyamatokat standard, a mûködési kockázatok kezelési eszközeinek aktuális hely- zetére visszavezethetô minôsítô faktorok különbözô szempontok szerinti értékelésével mi- nôsítjük.

Az értékelés során különös figyelmet kell fordítani azokra a kulcskockázati tényezôkre² , amelyek a munkafolyamatra az adott minôsítô faktor szempontjából jellemzôek.

A folyamat aktuális minôségének jellemzésére szolgáló minôsítô faktorok modellünkben a következôk: kontrolláltság, emberi tényezô, változások hatása, IT/infrastrukturális támo- gatottság, készültség rendkívüli helyzetek megelôzésére, kezelésére.

A kontrolláltság, az emberi tényezô és a változások hatásának minôsítésénél a szabályo- zás, „quality management”, az IT/infrastrukturális támogatottság minôsítésénél a védel- mi intézkedések, belsô szabályozás, a rendkívüli helyzetekre való felkészültség minôsí- A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Munkafolyamat-minôsítés kárbekövetkezési

valószínûség Veszteségbecslés (a kitett értékhez viszonyítva) lehetséges kár Kockázati esemény reputációra kifejtett hatásának minõsítése

kockázati érték reputációs kárveszély szintje

2Kulcskockázati tényezônek (Key Risk Indicator – KRI) nevezzük azokat a folyamatban mérhetô lényeges jellemzôket, amelyek rendszeres nyomon követése, monitorozása által idôben észlelhetjük, ha a folyamatban meglévô kockázatok szintje kritikus mértékben emelkedett.

tésénél a BCP-, DRP-, promptintézkedések, biztosítások (mint kockázatkezelési eszkö- zök – részletesen l. késôbb) KRI-kben is tükrözôdô hatását értékelni kell a szervezeti egységeknek.

A minôsítési eljárás auditkorrekcióval kiegészített „self-assessment”.

A lehetséges kára munkafolyamatokon belül kockázati eseményenként, éves szinten be- csült káradat (leírás, jogi költségek, hatósági szankciók, érvényesíthetetlen visszkereset, kár- térítés, tárgyi eszköz vesztesége/pótlása).

Meghatározásában viszonyítási alap a munkafolyamatok lebonyolítása során kezelt/fel- használt, forgalmi, állományi és bérjellegû kitett értékek várható nagysága, mint plafon. Eh- hez viszonyítva becsüljük éves szinten – az egyes kockázati események forgatókönyvének és hatásának végiggondolásával, a fizikai korlátok figyelembevételével is – a munkafolya- matban keletkezô lehetséges kárt. Ez értelemszerûen nagyobb, mint a kockázati érték, amelyben már érvényesül a kárbekövetkezési valószínûség csökkentô hatása.

A becslési eljárás „self-assessment”.

Bizonyos kockázatiesemény-fajtáknál a lehetséges károk becsléséhez a kitett érték ará- nyában egységesen biztosítói díjszabást vettünk figyelembe, ami már a valószínûséget is magában foglalja (fizikai károsodást elôidézô események/ katasztrófák), másutt a folya- matot központosítottan végzô szervezeti egységgel egyeztetett káraránnyal becsültük a kárt a kitett érték arányában (munkakörnyezeti károk).

A viszonyítási alapul szolgáló, kitett értékekre vonatkozó tényleges volumenadatokat évente gyûjtjük (fôkönyvi számlák, interjúk), ezek becslésének támogatása céljából.

A kockázati értékeketa folyamatra jellemzô kárbekövetkezési valószínûségek és a kocká- zatiesemény-fajtánként becsült lehetséges károk szorzataként állapítjuk meg.

A számításnál csak az adott kockázatiesemény-fajta szempontjából releváns minôsítô fak- torok kerülnek figyelembevételre.

Egyes kockázatiesemény-fajtáknál azon munkafolyamat kárbekövetkezési valószínûségét rendeljük a lehetséges kárhoz, amely folyamat minôsége döntô befolyást gyakorol a kár esetleges bekövetkezésére, azaz a kezelés központi (pl. telekommunikáció miatti BCP- eseményekhez, illetve az ezek által okozott lehetséges károkhoz minden munkafolya- matnál az általános munkafeltételek biztosítását szolgáló eszköz- és szolgáltatásbe- szerzésekre vonatkozó munkafolyamat minôségi paramétereit rendeltük).

A leírt módon számított kockázati értékek bruttó károk, tehát a becslést a megtérüléseket figyelmen kívül hagyva végezzük. Utóbbiakkal a kockázatkezelésnél kell számolni (a vesz- teség-adatbázis ezen információkra is kitér).

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Habár a kárbekövetkezési valószínûség, illetve a lehetséges károk meghatározásánál indo- kolt volna több tényezôt is figyelembe venni (pl. jegybanki szektorjellemzô, külsô és belsô történeti veszteség-adatbázis), az információ hiánya miatt a modellnél ezeket egyelôre fi- gyelmen kívül hagyjuk. (Az intézményi veszteség-adatbázis ugyan két éve épül, ez egyelôre azonban csak a lehetséges károkkal való összevetéshez szolgál – korlátozott mértékben – alapul.) Az alkalmazott paraméterek kezdetiek, a tapasztalatok bôvülésével korrigálhatók.

Az eredmény arányait tekintve iránymutató, pontosságának szintje még nem igazolható.

A teljes eljárás sémáját összefoglalóan a melléklet 1. számú ábrája tartalmazza.

A munkafolyamatokon belül az egyes kockázati események reputációnkra kifejtett hatá- sátminôsítéssel soroljuk fokozatokba.

A cél, hogy lokalizálni tudjuk azon kockázati eseményeket, melyek a banknak pénzügyi kárt nem feltétlenül okoznak, ugyanakkor az ügyfeleknek/üzletfeleknek ezen kockázati eseményekkel okozott kellemetlenségek (pl. várakozás, hibajavítás) a bank hírnevét csor- bítják. Az ilyen kárveszélyeket a munkafolyamatok összevont értékelése során, és a kocká- zatkezelésnél is figyelembe kell venni.

A minôsítési eljárás „self-assessment”.

A felmérésre szolgáló adatlap képét a melléklet 2. számú ábrája mutatja.

A mûködési kockázatokkal kapcsolatos, már bekövetkezett, tényleges károkatveszteség- adatbázisban gyûjtjük.

Az éves szinten gyûjtött bruttó károkat, megtérüléseket és a különbségükbôl számított net- tó (tényleges) károkat szerkezetileg beillesztjük a mûködési kockázati mátrixba, így segítve a becsült adatokkal való összehasonlíthatóságot.

Az adatgyûjtés célja többirányú. Bizonyos szintig támpontul szolgálnak az adatok a kocká- zatfelmérésnél, hosszabb távon segítik a becslési eljárás (modell) pontosítását, valamint elemzésen keresztül iránymutatók a kockázatkezelési eszközök napi karbantartásánál.

Az eljárás központi: interjúkkal kiegészített adatgyûjtés a fôkönyvi számlákról.

A ténykárokat tartalmazó veszteség-adatbázis adatai adott évben értelemszerûen eltérnek a becsült értékektôl, illetve egybeesésük véletlenszerû.

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Kockázati térkép tartalma

=

becsült kockázati értékek (valószínûsíthetõ éves károk)

Veszteség-adatbázis tartalma

= tényleges károk

(éves szinten bekövetkezett károk, megtérülések)

3.4 A MUNKAFOLYAMAT-STRUKTÚRA JELENTÔSÉGE

A munkafolyamat az önálló céllal, inputtal, outputtal bíró feladatok üzemszerû lépésekbôl álló lebonyolítási eljárása. Magában foglal döntéseket, ezek fórumait, szervezési intézkedé- seket, és részleteiben vagy egészében vezetôi felügyelet alatt áll. Az intézményi funkciók szerint csoportosított, összes munkafolyamatot lefedô rendszer a munkafolyamat-struktúra.

A helyesen kialakított munkafolyamat-struktúra jól megalapozza a hatékony intézményi mûködést, így a hatékony mûködésikockázat-kezelést is.

A hatékonyság elôfeltétele, hogy a különféle intézményi jellemzôket hiány- és átfedés- mentesen, következetesen rendezzük munkafolyamatokhoz. A munkafolyamat-struktúrát ezért úgy kell kialakítani, hogy a folyamatokat banki szinten mindenki egységesen értel- mezhesse, és hogy azokat a szervezeti változások hatása, a feladat- és felelôsségelhatáro- lások esetleges módosulása minél kevésbé érintse.

A mûködési kockázati mátrixban a következô módon rendszereztük a munkafolyamatokat:

Az intézményi funkciók („Funkció”) kielégítése a különbözô szakterületek („Üzletágak”) te- vékenységein („Tevékenység”) keresztül valósul meg. Ezen tevékenységek jellegüket, cél- jukat, illetve lebonyolítási módjukat tekintve hasonló munkafolyamatok („Munkafolyamat”) csoportjai. A munkafolyamatok a különbözô szervezeti egységek együttes, egymáshoz kapcsolódó vagy egymással párhuzamos feladatellátási láncolatából épülnek fel.

A jegybanki munkafolyamat-struktúrát a Bázel II pénzügyi intézményekre vonatkozó – üzletág mélységig terjedô – általános funkciófelosztási javaslatának figyelembevételével rendeztük (lásd a melléklet 3. számú táblázatát).

Igaz, a javaslattal nem jegybankokat kívántak megcélozni, de a jegybank több funkciójának munkafolyamatai összehasonlíthatók egy kereskedelmi bankéval, a speciális jegybanki te- vékenységek pedig, hasonlóan egyéb speciális intézményhez, elkülönített funkcióban je- lennek meg. Ezzel a felosztással egyúttal összehasonlíthatóvá kívántuk tenni munkafolya- mat-struktúránkat egyéb pénzügyi intézményekkel. Az általánosan közzétett rendszertôl a mélyebb lebontáson túlmenôen annyiban tértünk el, hogy támogató és ellátó funkciónkat külön jelenítettük meg. (Megjegyezzük, célszerûnek tartanánk összevetni folyamatstruktú- ránkat a kockázatfelmérést, káradatok és a kitett értékekre vonatkozó volumenadatok gyûj- tését végzô más bankokkal, eddig azonban ilyet nem adtak közre az intézmények.)

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

Hogy miért tartjuk tehát fontosnak a folyamatstruktúra felállítását és az egyes munkafolya- matok definiálását?

Azért, mert – folyamatos karbantartás mellett – keretet biztosít lényeges intézményi jellem- zôk (pl. külsô/belsô szabályozások, folyamatköltségek, emberi erôforrásra, felhasznált esz- közökre, különféle kockázatokra vonatkozó adatok) egységes rendszerû és következetes megjelenítéséhez, monitoringjához és egyes tervezési feladatok megalapozásához.

A KOCKÁZATOK AZONOSÍTÁSA ÉS FELMÉRÉSE

4.1 HOGYAN HASZNOSÍTHATÓ A KOCKÁZATI TÉRKÉP A KOCKÁZATKEZELÉSNÉL?

A kockázatok hatékony kezelése költséghatékony kockázatmérséklést jelent.

A kockázati térkép orientál a kockázatkezelésben: mutatja, mely munkafolyamatoknál mi- lyen kockázatok kezelése érdemel figyelmet és ráfordítást, ezáltal a kockázatkezelés haté- konyságának felülvizsgálata megalapozottabbá tehetô.

A meglévô kezelési eljárások értékeléséhez, vagy az új eljárások bevezetésére vonatkozó döntés meghozatalához az átfogó információkat tartalmazó kockázati térkép a következô módon nyújt támpontot:

– A felmért és lokalizált (mátrixban, a munkafolyamatokhoz rendezve megjelenített) koc- kázati értékek, az egyes kockázati eseményfajtákhoz kapcsolódó reputációs kárveszély- szintek, valamint – a késôbbiekben – a folyamatok prioritásmeghatározásban tükröztetett reputációskárveszély-szintje a kezelés kiindulási alapja. Ezek együttes értékelésével rangso- rolhatók kitettségük mértéke szerint a munkafolyamatok, és rangsorolható a kockázati eseményfajták relevanciája is. Ennek segítségével dönthetô el, mit érdemes (kell) kezelni, mennyit érdemes erre áldozni, illetve, hogy meglévô eljárásaink, ezek keretében tervezett esetleges beruházásaink arányosak-e a kockázattal (hogy lehetôleg ne kerüljön többe a ke- zelés, mint amekkora a kockázat, de mindenképp fordítsunk figyelmet arra, amire szüksé- ges – a döntést az átfogó információk alapján a felsô vezetés hozza meg).

– A kockázatkezelési gyakorlat kialakítása, felülvizsgálata keretében eldönthetô, milyen szervezeti keretben, kinek, milyen módon célszerû a releváns kockázatokat kezelni, figye- lemmel az eseti és folyamatos ráfordításokra. A kockázatkezelési módszer mérlegelése so- rán figyelembe kell venni, hogy a kockázati értékek számos kis összegû, vagy kevés nagy összegû kárból is származhatnak, amit az érték magában nem mutat. A módszer megvá- lasztásához a szcenáriók és hatások elemzése szükséges.

A KOCKÁZATOK KEZELÉSE

4. A KOCKÁZATOK KEZELÉSE

Kockázatkezelési eljárás meghatározása/felülvizsgálata:

– elôzetes értékelés

– a kockázati térkép elemzése, kockázatkoncentrációk azonosítása, a kezelendô, illetve célszerûen felülvizsgálandó kockázatok/munkafolyamatok kijelölése;

– az érintett munkafolyamatokban a kulcskockázati tényezôk (KRI-k)/korai veszélyjel- zôk és a veszteségadatok értékelése (veszteségadatok, hibák, auditmegállapítások, intézkedések elemzése), a kiemelt kockázati események szcenárióinak számbavétele, hatáselemzés;

– optimális kockázatkezelési módszer megválasztása;

– a kockázatkezelési eljárás lépéseinek, eszközeinek meghatározása, költség-haszon elemzés (egyszeri és folyamatos költségek);

– szervezeti keretek kijelölése (szabályok, végrehajtás módjának, monitoring-eljárás- nak a rögzítése, felelôsségek allokálása).

4.2 A MÛKÖDÉSI KOCKÁZATOK KEZELÉSE

A mûködési kockázatok kezelése több fázisban, általánosan folytatott gyakorlat, és bevált technikákra támaszkodik, de módszerei, szervezeti keretei az aktuális és várható helyzet- nek megfelelô karbantartást igényelnek.

A mûködési kockázatok kezelésének kezelési fázisokra legjellemzôbb eszközeit a kocká- zati eseményekhez rendezetten (Bázel II – legösszevontabb hét eseménytípus) a melléklet 1. számú táblázata foglalja össze.

Részleteiben a megelôzés, kritikus helyzet kezelése és a kármegtérülésrôl való elôzetes gondoskodás fázisaira jellemzô mûködésikockázat-kezelési eszközök a következôk:

Megelôzés – alapvetôen a kockázati események bekövetkezésének kivédését, illetve a gyors felfedést szolgáló szabályok, folyamatos eljárások:

– A folyamatba épített ellenôrzési pontokat megfelelôen tartalmazó belsô szabályozás (legkidolgozottabb formájában folyamatábra) megelôzési céllal, a kontrolláltság megte- remtésén keresztül alapozza meg az eljárásból adódó kockázatok mérséklését – a keze- lésnek nemcsak a kontrollpontok szabályokban is rögzített kiépítése, hanem azok meg- felelô mûködtetése és a folyamatba épített ellenôrzés is része. Fontos, hogy a szabályo- zások aktualizáltak legyenek!

A „quality management”a munkafolyamatnak a kontrolláltság és hatékonyság szemszö- gébôl végzett felülvizsgálata, szükség szerint újraszervezése, mely kezelési eszközként a belsô szabályozáshoz kapcsolható.

– A védelmi intézkedések(technikai és élôerôs védelem, szûrés/rendszerek monitoring- ja) szintén megelôzési céllal mérséklik a kockázatot. Vagyoni értékek, személyek, érzé- keny információk védelmét, bûnmegelôzést biztosít az ebbôl a szempontból kritikus A KOCKÁZATOK KEZELÉSE

munkafolyamatokban, illetve területeken, a tûz- és behatolásvédelem, humán- és IT-biz- tonság, TÜK-adatkezelés, pénzmosás-megelôzés, munka- és környezetvédelem, polgári védelem szabályaival, intézkedéseivel. Mindezek párosulnak egyes, kritikus helyzetben alkalmazandó azonnali intézkedések terveivel. Fontos, hogy technikailag elôremutató, jogszabályszerû és mûködô rendszerek álljanak rendelkezésre!

Kritikus helyzet kezelése – rendszerszerû üzletmenet-folytonossági tervezés (BCP-rend- szer), a kockázati események bekövetkezése esetén a gördülékeny, gyors üzletmenet- visszaállítást és a károk enyhítését szolgáló intézkedések terve:

– A BCP-akcióterv (akcióterv üzletfolytonosság biztosítására)kritikus helyzetben, a krí- zishelyzetek kezelhetôségét biztosító alternatív munkafolyamat-végrehajtási mód alkal- mazásával szolgálja a kockázatok mérséklését, ide értendô az alternatív helyszíni munka- végzést is. Fontos, hogy mindenkor használható, tesztelt akciótervek álljanak rendelke- zésre!

A promptintézkedések a folyamat és kockázat jellegétôl függôen, kritikus helyzetben elôre körvonalazhatóan megteendô intézkedések, mint mentés, evakuáció, tûzoltás, rendôrség, egyéb hatóságok értesítése, munkafolyamat leállítása, intézkedés azonnali ki- vizsgálásra, azonnali külsô kommunikáció (lényegében a kárenyhítést szolgáló forgató- könyvek, mint kvázi akciótervek, melyek a BCP-akcióterveknek nem részei). Fontos, hogy minden érintett ismerje, és alkalmazni tudja ezeket!

– A DRP-akcióterv (akcióterv katasztrófa utáni helyreállításra)kritikus helyzetben a ki- esett, nélkülözhetetlen erôforrások visszaállítási (javítási, pótlási) eljárásának biztosításá- val szolgálja a kockázatmérséklést. Elsôdlegesen IT-rendszerekre vonatkozik, de egyéb technikai jellegû erôforrásokra vonatkozóan is készülhet DRP. A tervhez gyakran szolgál- tatási szerzôdés is párosul. Fontos, hogy mindenkor használható, tesztelt akciótervek és megfelelô kondíciójú szolgáltatási szerzôdések álljanak rendelkezésre!

Kármegtérülésrôl való elôzetes gondoskodás– intézményen belül vagy kívül okozott, sze- mélyi, vagyoni károk kompenzálását garantáló szerzôdések kötése:

– A vagyon-, felelôsség- és személybiztosítása bekövetkezett kockázati esemény hatá- saként jelentkezô kár megtérülésérôl való elôzetes gondoskodás által kiszámíthatóan mérsékli az esetleges veszteséget. Fontos, hogy mindig az aktuális helyzethez illô, kárvi- selô képességgel arányos, karbantartott biztosítások álljanak rendelkezésre!

4.3 KIEMELTEN A BCP-RÔL

Az üzletfolytonossági tervezô rendszer (BCP-rendszer), mint egyik lényeges mûködésikoc- kázat-kezelési eszköz, a kritikus helyzetek áthidalását szolgálja, a következô módon:

A bankban alkalmazott rendszerben minden munkafolyamatra (ezen belül az üzletfolyto- nosság szempontjából célszerûen elkülöníthetô folyamatszakaszra) felmérjük, hogy kiesé- A KOCKÁZATOK KEZELÉSE

re állásának rövidebb-hosszabb szünetelése okoz, milyen pénzügyi, illetve reputációs kár keletkezhet (az eredménynek nyilván összhangban kell lennie a mûködésikockázat-felmé- résnél ezen események hatásaként megadott lehetséges veszteségértékekkel). Az ebbôl a szempontból lényegesnek talált (kritikus) tevékenységeknél a feltétlen szükséges (és komo- lyabb kiesési valószínûségû) erôforrások használatának mellôzésével folytatott alternatív el- járásokról BCP-akcióterv, a kiesô erôforrás helyreállítására DRP-akcióterv készül – mindig a figyelembe vett erôforrás kiesésére vonatkozóan. Rendszerünkben ezek döntôen IT-alkal- mazások, illetve egyéb erôforrások, de emberi erôforrás vagy helyszín kiesésére is készül- het akcióterv.

Akcióterv alapján történik szükség esetén az alternatív helyszín igénybevétele, ide értve a kiemelten lényeges és idôkritikus munkafolyamatok áttelepítését, az alternatív helyszíni munkavégzést, és mindehhez a feltételek biztosítását.

Az akciótervek akkor bevethetôk, ha naprakészek, kipróbáltak, azaz teszteltek. Ezért nagy hangsúlyt kell fordítani arra, hogy minden kritikus BCP-helyzetre tesztelt akcióterv álljon rendelkezésre (és ismertek legyenek az alapvetôen szükséges azonnali intézkedések).

Mindezek banki szintû áttekintésére, karbantartására központi rendszer biztosít dokumen- tációs keretet. A megfelelô BCP- és DRP-akciótervek elkészítése, a naprakészséget és alkal- mazhatóságot garantáló karbantartása, tesztelése az érintett szakterületek feladata és fele- lôssége (a több szervezeti egység együttmûködését igénylô tesztek természetesen a szak- területek koordinációjával hajthatók végre, és a felsô vezetés, mint kríziskezelési irányító bi- zottság részvételét is igényelhetik).

4.4. A KOCKÁZATKEZELÉS MINÔSÉGÉNEK FIGYELEMMEL KÍSÉRÉSE

A kockázatkezelés minôségének nyomon követése a szakterületek vezetôi ellenôrzés- sel kísért kockázatkezelési tevékenységének része. A belsô ellenôrzés az auditok so- rán értékeli a kockázatkezelést. Mindehhez információs bázisul szolgál a kockázati tér- kép, amelyben egyúttal tükrözôdnek az átfogó kockázatfelmérések eredményei, a mi- nôségváltozások.

– A szakterületekkockázatkezelési intézkedéseik hatását nyomon követik (monitoring).

Adott munkafolyamatért felelôs vezetô rendszeres idôközönként számba veszi a folyamat- ra jellemzô kulcskockázati tényezôket (KRI-k), figyelemmel a megtett kockázatkezelési in- tézkedésekre, az esetlegesen emellett is bekövetkezett vagy majdnem bekövetkezett kár- eseményekre, valamint az auditok megállapításaira. Újraértékeli, milyen korai veszélyjelzô faktorokra lehet támaszkodni a megelôzés érdekében, kell-e a folyamatba épített kontrol- lokat szabályozási szinten is módosítani, vagy a végrehajtást változtatni. Ellenôrzi, hogy a kritikus helyzetek kezelésére tervezett promptintézkedések, akciótervek megfelelôek-e, használhatók-e (a tesztelések, aktualizálások rendben megtörténtek-e).

A KOCKÁZATOK KEZELÉSE

Célszerû a káresemények, az értékelések és intézkedések egységes keretek közötti, rend- szeres dokumentálása, riportolása. A felsô vezetés ezt ellenôrzi, és szükség esetén továb- bi intézkedéseket rendel el.

– Audit

A belsô ellenôrzés az éves programjában szereplô munkafolyamat-auditjai keretében érté- keli a kockázatkezelés minôségét, vizsgálja a munkafolyamatokban a kockázatkezelési esz- közöknek és alkalmazásuknak a hatékonyságát, ide értve a vezetôi ellenôrzést is, hogy fel- mérje, vajon ezáltal a maradék kockázatok elfogadható szintre mérséklôdtek-e.

A vizsgálatokra való felkészülésnél használt információk: a folyamatleírás (belsô szabályo- zás), a mûködési kockázatokra vonatkozó kockázati térkép (lehetséges kockázati esemé- nyek és valószínûsíthetô hatásuk), a kockázatfelmérés során jelölt KRI-k, továbbá a veszte- ség-adatbázis információi és az audit korábbi megállapításai.

– A kockázati térképrôl látható, milyen kockázatokat tartott relevánsnak a szakterület. Az audit vizsgálati megállapításai alapján ellenôrizendô ezek realitása, továbbá a kockázat- kezelés módja, ide értve a BCP-k, DRP-k tartalmát, teszteltségét is. (Célszerû lehet az auditmegállapításokat kockázati eseményfajtákhoz rendezni.)

– Ellenôrizhetô, hogy a szakterületek kijelöltek-e és monitoroznak-e kulcskockázati ténye- zôket, készítenek-e intézkedési terveket, vannak-e intézkedések, és ezek hatáselemzése, vezetôi ellenôrzése megtörténik-e (van-e riportolás), ehhez képest milyen károk fordultak elô.

– Ellenôrizhetô a kockázatkezelési eljárási terv esetleges beruházásigényének alátámasz- tottsága.

– Átfogó kockázatfelmérés

A kockázatkezelési intézkedések hatásának mérése az éves mûködésikockázat- felméréseknél a folyamatminôsítô faktorok szakterületi értékelésén és besorolásán, vala- mint a kapcsolódó auditkorrekción keresztül valósul meg.

A szervezeti egységek által végrehajtott folyamatminôsítésnek az auditkorrekcióval együt- tesen a munkafolyamatok minôségi változását, az évközi intézkedésekkel elért aktuális ál- lapotot kell tükrözni. A folyamatok minôsítésváltozása közvetetten, a kárbekövetkezési va- lószínûségek változásán keresztül hat a kockázati értékekre, ami megjelenik a mûködési kockázati mátrixban.

– A minôsítô faktoronkénti értékelés során a szervezeti egységeknek figyelembe kell ven- niük a kockázatkezelési eszközök aktuális minôségének KRI-kben is tükrözôdô hatását.

A KOCKÁZATOK KEZELÉSE

– Az audit, vizsgálati tapasztalatai alapján, felülbírálja és korrekciójával kiegészíti a minô- sítéseket. (Emellett lehetôsége van a munkafolyamatokban jelölt, különbözô kockázatfaj- táknak, a lehetséges károk értékének volumenadatok és tényleges veszteségadatok összehasonlításával végzett felülbírálatára, a lehetséges reputációs károk hatásának felül- bírálatára, valamint az audit által ismert kockázati események és veszteségadatok alapján a veszteség-adatbázis esetleges hiányainak azonosítására.)

A kockázatkezelés monitoringjának elemei:

A KOCKÁZATOK KEZELÉSE

Kockázatkeze- lési eszközök

alkalmazása

Kulcskockázati tényezõk, korai veszélyjelzõk

folyamatos monitorozása

Riportolás, intézkedési tervek készítése és végrehajtása,

vezetõi ellenõrzés

Kockázatkeze- lési eszközök karbantartása

Átfogó kockázatfel-

mérésnél self-assessment Folyamatminõsítést

audit is bírálja Audit saját éves program

szerint ellenõrzi

A teljes kockázatfelmérési folyamat értelemszerûen minden szervezeti egységet érint.

Az eredmények, a modell újszerûsége, valamint a tapasztalat és a külsô, jegybanki partner- rel történô részletes összevethetôség hiánya miatt számszerûségüket tekintve bizonyára nem eléggé pontosak, ennek ellenére indokolt folytatni a munkát és fejleszteni a rendszert, mert ez a következô eredményeket hozza:

– a „self-assessment” folyamata a szakterületeket kockázataik átgondolására készteti, ezál- tal általánosan erôsíti a kockázati tudatosságot, egyúttal a prudens mûködést szolgálja;

– a mûködési kockázati térkép átfogó képet ad ezen kockázatok mértékérôl, megjelenési helyeirôl. Így egységes alapokra helyezhetô a kockázatkezelés (a mátrix kiterjesztésével egyéb kockázatokra vonatkozóan is), és felhasználható az éves auditterv készítésénél is;

– a munkafolyamat-struktúra tisztázása számos szakterület munkáját képes segíteni a sza- bályozások, „quality management”, tervezés, folyamatköltség-számítás, kontrollok, audit te- rületén;

– gyakorlati tapasztalatokra teszünk szert a Bázel II nyomán már eldöntötten bevezetendô mûködésikockázat-felmérési rendszer felállításában – igaz, az elôírás jegybankokra nem terjed ki (és nyilvánvalóan tôkeképzési kötelezettség sincs), de a rendelkezésünkre álló in- formációk szerint több jegybank foglalkozik valamilyen módon a témával, az alakuló nem- zetközi gyakorlattal így lépést tartunk. Emellett tapasztalatunk segítséget nyújthat a Bázel II alapján bevezetendô rendszer és a kereskedelmi bankok ez irányú munkájának jobb meg- értésében.

MIÉRT HASZNOS AZ ÁTFOGÓ KOCKÁZATFELMÉRÉSI MUNKA?

5. M IÉRT HASZNOS AZ ÁTFOGÓ KOCKÁZATFELMÉRÉSI

MUNKA ?

MELLÉKLET

Mûködési kockázati eseménytípusok Mûködési kockázatok jellemzô kezelési eszközei

Pénzügyi Mûködési kockázatokÜzleti kockázatokkockázatok Külsô csalásBelsô csalásHibás lebo- nyolítási eljárások Helytelen üzletvitel Munkakör- nyezeti károkozás Eszközök fizikai károsodása, katasztrófák Rendszerek mûködésének hibája, kiesése (üzemszünet)

Összesen Prioritás

(minôsítés)

Hitel, piaci, likviditásiEmberekEljárásokKülsô eseményekRendszerekStratégia, management MegelôzésVédelem, Belsô szab.,Belsô szab.,Belsô szab.Belsô szab.,VédelemVédelem belsô szab.védelemQualityvédelem manag. Kritikus helyzetPromptint.Promptint.Promptint.Promptint.Promptint.BCPBCP, DRP kezelése(+ kommu-(+ kommu-(+ kommu-(evakuáció) nikáció)nikáció)nikáció) Kármegtérülésrôl való elôzetesBiztosításBiztosítás gondoskodás

Munka- folyamatok

Mûködési kockázatok kezelési fáziasi

MELLÉKLET

2. táblázat

Mûködési kockázati események

Kockázatiesemény- Kockázatiesemény- Kockázati események

típus csoport

Belsô csalás Jogosulatlan végrehajtott tranzakciók eltitkolása (jelentés, (legalább egy belsô tevékenység dokumentáció elmulasztása)

dolgozó részvételével) tranzakciók jogosulatlan végrehajtása (a banknak pénzügyi veszteséget okozva)

pozíció, adat szándékos megváltoztatása Lopás és csalás csalás / hitelcsalás / értéktelen fedezet elfogadása

lopás / hivatali zsarolás / sikkasztás / rablás hûtlen, illetve hanyag kezelés

hamisítás (legalább egy belsô dolgozó részvételével) számla feletti ellenôrzés megszerzése hamis személyazonossággal vagy más jelszavával, jogosulatlan számlahozzáférés

megvesztegetés, orgazdaság Külsô csalás Lopás és csalás lopás / rablás

(csak külsô személyek hamisítás (csak külsô személyek részvételével) részvételével) Rendszerbiztonság hackertevékenység (pénzügyi veszteséggel)

kijátszása pénzügyi veszteséggel járó információlopás

Munkakörnyezeti Jogszerûtlen eljárások egyéni és csoportos térítésigényeket elôidézô jogszerûtlen károkozás a dolgozókkal szemben eljárások (pl. alkalmazás, felmondás, megbízás,

(dolgozók károsodását szerzôdés során), diszkrimináció

elôidézô események) Dolgozók fizikai a munkakörnyezet fizikai biztonságának hiányosságából épségének, adódó, az általános felelôsségi körbe tartozó kárigényt egészségének sérülése eredményezô események (sérülések baleset, támadás,

katasztrófa miatt)

munka-egészségügyi, munkavédelmi szolgáltatások hiányosságából adódó, kártérítési igényt eredményezô, egészségkárosodással összefüggô események

Helytelen üzletvitel Nyilvánosságra hozatali hirdetmények, szabályzatok rossz, félreérthetô vagy hiányos (helytelen, politikákkal kötelezettség megfogalmazása, aktualizálás elmulasztása

ellenkezô vagy megszegése, titoktartási kötelezettség megszegése, bizalmas információval etikátlan üzletvitel) bizalommal való történô visszaélés

visszaélés

Nem megfelelô üzleti, pénzmosás

vagy piaci gyakorlat szabálytalan kereskedés, illetve piaci tevékenység Termékhibák modell- (termék-) hibák, rossz konstrukció alkalmazása Ügyfelek helytelen ügyfélvizsgálat elmulasztása

kezelése ügyféllimit túllépése

Eszközök fizikai Katasztrófák és egyéb eszközkárosodások, természeti katasztrófák

károsodását elôidézô káresemények erôszakos cselekmények (terrorizmus, vandalizmus –

események kivéve rablás)

Rendszerek hibájából Rendszerek hardver meghibásodása miatti üzemszünet adódó, üzletmenet- meghibásodásából szoftver meghibásodása miatti üzemszünet megszakadást kiváltó adódó rendkívüli telekommunikációs eszközök meghibásodása miatti

események események üzemszünet

egyéb eszközök meghibásodása miatti üzemszünet

MELLÉKLET

Helytelen (hibás) Tranzakciók helytelen félreértés

lebonyolítási eljárások végrehajtása és hibás adatbevitel, karbantartás vagy betöltés karbantartási hibák (minden munkafolyamatra értelmezhetôen)

határidô vagy feladat végrehajtásának elmulasztása modell (termék) / rendszer rossz mûköd(tet)ése (rossz vagy elavult szabályozás)

hibás könyvelés, elszámolás, nyilvántartás

fizetési, szolgáltatási kötelezettség hibás teljesítése, pénzfeldolgozási hibák

törzsadatok, referenciaadatok hibás karbantartása Monitoring- és jelentési és adatszolgáltatási kötelezettség elmulasztása jelentési hibák (külsô, belsô)

pontatlan külsô jelentés, adatszolgáltatás

Szabálytalan ügyfél és egyéb jogi dokumentumok helytelen kezelése ügyfélbefogadás, (hiányok)

megszüntetés, dokumentálás

Ügyfélszámlák hanyag károkozás az ügyfél követelésében helytelen kezelése

Üzleti partnerek üzleti partnerek (nem ügyfelek) rossz teljesítése rossz teljesítése

Szállítókkal kapcsolatos vita a szállítókkal és a közvetítôkkel hibás eljárások

Kockázatiesemény- Kockázatiesemény- Kockázati események

típus csoport

MELLÉKLET

3. táblázat

No MNB-munkafolyamatok (arab számokkal jelölt sorok) A) Funkció: Befektetési funkció

I. Üzletág: Kereskedés és értékesítés

I/a Tevékenység: Értékesítés

1 MNB-devizakötvények utógondozása

I/b Tevékenység: Treasury

2 devizapozíció nyomon követése, pénzeszközök átcsoportosítása a nostro számlák között

3 MNB által felvett közép- és hosszú lejáratú bankközi és konzorciális hitelek törlesztésének lebonyolítása 4 hitel/betét ügyletek lebonyolítása

5 spotügyletek lebonyolítása 6 forwardügyletek lebonyolítása 7 swapügyletek lebonyolítása 8 repoügyletek lebonyolítása 9 értékpapír-kölcsönzés 10 futuresügyletek lebonyolítása 11 opciós ügyletek lebonyolítása 12 kötvényügyletek lebonyolítása 13 a hivatalos devizaárfolyam jegyzése 14 a BUBOR meghatározása

15 gyorstenderek lebonyolítása

16 limitrendszer kialakítása, karbantartása 17 MNB nettó pozíciójának meghatározása

18 a jegybanki forint- és devizapiaci mûveletek üzleti feltételeinek kidolgozása és közzététele B) Funkció: Általános banki funkció

I. Üzletág: Retail üzletág

I/a Tevékenység: Retailtevékenység

19 a számlatulajdonosok készpénzkifizetéseinek és -befizetéseinek lebonyolítása 20 a bank feladatkörében maradt, értékpapír-kezeléssel kapcsolatos pénztári kifizetések 21 bankjegy- és érmeváltás

22 a visszaáramlott készpénz feldolgozása 23 a banki pénzkészletek ôrzése, kezelése

24 a banki nemesfémkészletek (rúd, tömb, nem törvényes fizetôeszköz nemesfémérme, törvényes fizetôeszköz emlékérme) ôrzése, kezelése, forgalmazása

25 a banki pénz- és értékszállítások megszervezése 26 dolgozói hitelek kihelyezése, kezelése

II. Üzletág: Kereskedelmi banki üzletág

II/a Tevékenység: Kereskedelmi banki tevékenység

27 devizagaranciákkal kapcsolatos feladatok ellátása (kapott, nyújtott, reverzális) 28 export-import akkreditívek kezelése

29 okmányos inkasszókkal kapcsolatos feladatok elvégzése 30 refinanszírozási hitelek lebonyolítása

III. Üzletág: Fizetési forgalom

III/a Tevékenység: Ügyfeleknek végzett szolgáltatások

31 üzleti feltételek kidolgozása és közzététele az MNB által vezetett bankszámlákra, valamint forint-, és devizaforgalmi elszámolásokra vonatkozóan, valamint a hirdetmény kidolgozása és közzététele 32 forint- és devizaügyfélszámla-nyitások, -zárások, törzsadat-beállítások

33 forint- és devizaügyfélszámlával kapcsolatos kamatelszámolások, gyûjtött, idôszakonkénti jutalékelszámolások és egyéb számlavezetési feladatok

34 átutalások a bankközi elszámolásforgalomban

35 beszedési megbízások a bankközi elszámolásforgalomban 36 postai közvetítéssel bonyolódó készpénzforgalom elszámolása 37 devizaforgalmi sima átutalások

38 csekkek feldolgozása

MELLÉKLET

No MNB-munkafolyamatok (arab számokkal jelölt sorok) IV. Üzletág: Ügynöki szolgáltatások

IV/a Tevékenység: Letéti szolgáltatás 39 letétek ôrzése és kezelése

IV/b Tevékenység: Bizományosi tevékenység

40 a szuverén kibocsátó nemzetközi hitelfelvételeinek és kötvénykibocsátásainak elôkészítésében és lebonyolításában való részvétel

C) Funkció: Jegybanki funkció

I. Üzletág / Tevékenység: Emisszió

41 a bankjegy- és érmeszükséglet prognosztizálása, gyártási terv kidolgozása, gyártatás, készletezési politika

42 bevonási program kidolgozása 43 pénzbevonási nyereség elszámolása

44 emlékérme-kibocsátási program kidolgozása, emlékérmékkel való gazdálkodás 45 váltási pénzkészlet kihelyezése

46 a hamis és hamisgyanús magyar és külföldi bankjegyekkel és érmékkel kapcsolatos szakértôi vélemények készítése

47 a nem forgalomképes és a bevont pénzek közül a bankjegyek megsemmisítése és az érmék anyagának értékesítése

II. Üzletág / Tevékenység: Monetáris politika

48 árfolyamrendszer kialakítása, alapkamat meghatározása, közzététele, továbbá az alapkamathoz kapcsolódó forint-refinanszírozási, betéti és hitelkamatlábak közzététele

49 kötelezôtartalék-szabályozás kidolgozása

50 a kötelezô tartalék alapjának kiszámítása, a kamatok meghatározása és a kötelezô tartalék nem megfelelô elhelyezése esetén szankcionálás

51 napi bontású likviditási elôrejelzés készítése, likviditás figyelemmel kísérése

III. Üzletág / Tevékenység: Pénzügyi stabilitás biztosítása, jegybanki ellenôrzés 52 hitelintézeteknek nyújtott átmeneti és rendkívüli hitel

53 belföldi bankok minôsítése

54 pénzforgalom, belföldi fizetési rendszerek szabályozása, felvigyázása

55 hitelintézetek, egyéb pénzügyi szervezetek, nem pénzügyi vállalatok és pénzfeldolgozók ellenôrzése 56 engedélyezés

IV. Üzletág / Tevékenység: Statisztika, adatszolgáltatás, jelentések, kiadványok készítése 57 statisztikai jelentések, adatszolgáltatások

58 kiadványok, jelentések készítése D) Funkció: Támogató és ellátó funkció

I. Üzletág / Tevékenység: Számvitel, pénzügy, kontrolling

59 szabályozási feladatok: számvitelpolitika, fôkönyvi és analitikus számlarend kialakítása 60 fôkönyvi nyilvántartások vezetése

61 befektetések, tárgyi eszközök, immateriális javak nyilvántartása, leltár készítése 62 vevôk, szállítók nyilvántartása, pénzügyi rendezések

63 céltartalékok képzése, értékvesztés elszámolása

64 MNB mérlegének, eredménykimutatásának elkészítése, leltári alátámasztása 65 MNB adóbevallásának elkészítése, adóelszámolások teljesítése

66 kontrollingtevékenység

II. Üzletág / Tevékenység: Belsô gazdálkodás és mûködési szolgáltatás 67 épületfenntartás, -üzemeltetés, kapcsolódó szolgáltatások beszerzése 68 helyiséggazdálkodás

69 utaztatások intézése 70 reprezentáció intézése

71 az általános munkafeltételek biztosítását szolgáló anyag- és eszközbeszerzés (telekommunikáció és munkavédelem is), kapcsolódó szolgáltatások beszerzése, raktári készletgazdálkodás, selejtezés 72 gépjármûpark beszerzése, üzemeltetése

73 kiemelt (komplex) beruházások lebonyolítása 74 tulajdonosi képviselet

MELLÉKLET

No MNB-munkafolyamatok (arab számokkal jelölt sorok) 76 informatikai beszerzések, raktározás

77 bankbiztonsági rendszerek fejlesztéséhez, üzemeltetéséhez szükséges eszközök, szolgáltatások beszerzése

III. Üzletág / Tevékenység: Bankbiztonság 78 bankbiztonság megszervezése

79 mûködési kockázatok felmérése, rendkívüli események megelôzésének és kezelésének megszervezése IV. Üzletág / Tevékenység: IT

80 hálózat- és rendszerfelügyelet, rendszeradminisztráció, rendszervédelmi feladatok ellátása, hozzáférés-kezelés

81 rendszerüzemeltetés

82 számítástechnikai rendszerek fejlesztése 83 IT-változáskezelés

V. Üzletág / Tevékenység: Emberierôforrás-gazdálkodás 84 munkaerô és személyügyi költségek tervezése, kontrollingja 85 oktatások szervezése

86 munkaügyi feladatok ellátása 87 illetmény, tb-számfejtés, elszámolás 88 béren kívüli juttatások rendezése

VI. Üzletág / Tevékenység: Jog, igazgatás 89 rendeletek, szerzôdések normaszövegének kidolgozása 90 peres ügyekben, hatóságoknál az MNB képviselete 91 jogszabályok elôkészítése, harmonizációja 92 társasági ügyintézés

93 belsô szabályozási rendszer mûködtetése 94 iratkezelési tevékenységek ellátása

VII. Üzletág / Tevékenység: Kommunikáció 95 külsô kommunikáció / információszolgáltatás 96 kiadványok elôállítása

97 on-line kommunikáció 98 könyvtárak mûködtetése

99 bankjegy és éremgyûjtemény, Banktörténeti Múzeum tárgyainak ôrzése, vétele, cseréje, kiállítások rendezése (Látogatóközpont)

100 alapítványi és szponzorálási ügyek intézése 101 fordítás, tolmácsolás

102 belsô rendezvények szervezése

103 nemzetközi szervezetekkel kapcsolatos tájékoztatás VIII. Üzletág / Tevékenység: Audit

104 belsô ellenôrzés

MELLÉKLET

C E V I K = változások hatása

volumenadatok (EI) és kárarányok (LGE) lehetséges károk (L) becsült kockázati értékek (KÉ) tapasztalt kockázati értékek (tényleges károk)

modellparaméterek illesztett értékei

modellparaméterek kezdeti értékei valószínûség (PE)

MELLÉKLET

2. ábra

A mûködési kockázatok mérése és kezelése a Magyar Nemzeti Bankban MNB Mûhelytanulmányok 32.

Nyomda: D-Plus